Como os CIOs podem tornar a segurança uma necessidade empresarial?

Então, um cara vai em direção a outro cara que está batendo palmas. O primeiro cara pergunta, “Porque você está batendo palmas?”, o segundo responde, “Para manter os jacarés longe!”. Confuso, o primeiro cara diz, “Mas não tem nenhum jacaré por aqui”. E o segundo diz, “Vê? Está funcionando!”.

Essa é a situação que muitos CIOs se encontram ao vender segurança de TI para o comitê executivo. “Quando o CIO diz, ‘Eu gostaria de gastar esta quantia em segurança’, raramente ele escutará um ‘Você tem certeza de que está gastando o suficiente?’”, conta Steve Rubinow, CIO da FXall. “É mais fácil ouvir algo como ‘Nós ainda não experimentamos nenhum problema, talvez você esteja gastando muito’!”.

O Paradoxo ROI (Retorno de Investimento).

Talvez o aspecto mais claro do paradoxo da segurança de TI seja esse: “Não existe um ROI simples em relação à segurança”. Você não pode garantir que seus sistemas sejam 100 por cento seguros. Além disso, ameaças de segurança podem ser astutas, com os ataques tendo como alvo a propriedade intelectual, e não os dados de clientes.

Sem nenhuma emergência de segurança real em sua própria empresa, Rubinow desfruta de notícias sobre falhas em outros locais em sua indústria. “Eu não desejo uma crise de segurança para ninguém”, conta ele, “mas quando ela ocorre, digo, ‘Tudo bem, equipe, vamos sair do PowerPoint, temos uma oportunidade de fazer bem feito’”.

Assim como a maioria dos CIOs de serviços financeiros, Rubinow também trabalha com um conjunto flexível de consultores para executar testes de penetração e avaliar seus investimentos de segurança contra o de seus concorrentes. “Será que um par de olhos objetivos diria que estamos gastando a quantia correta?”

O paradoxo do produto.

Para Mike Rosello, VP de TI e operações da Alliance Data Systems Retail Services, o paradoxo encontra-se no conflito entre a competitividade de mercado e a segurança. “Estamos no negócio de gestão de dados, então uma segurança estrita é algo absolutamente necessário”, conta ele. “Precisamos ter protocolos de segurança eficientes enquanto também permanecemos competitivos com nossas capacidades no mercado”.

A solução é ter funcionários de segurança na equipe de projeto, o que é especialmente importante pelo fato de diferentes soluções propostas endereçarem diferentes preocupações com a segurança. “Você não quer que a equipe de segurança diga ao negócio porque eles não podem ter o que querem”, conta Rosello.

Isto significa treinar a equipe em uma habilidade que pode não ser natural. Quanto mais sua equipe de segurança pode educar o negócio e vender serviços de segurança para ele, mais eficiente será a conversa direta com o negócio.

O paradoxo da IT.

A segurança não é apenas um problema exclusivamente da TI. “Quando a segurança é discutida como um problema da TI, diferente de um problema de risco de negócios, ela é normalmente um pensamento tardio e fora de orçamento”, conta Mark Silver, oficial da divisão de informações da Siemens Healthcare. “Mas se algo der errado, não é a TI sozinha que será a responsabilizada. Quando converso com CFOs, lembro-os que o ROI também significa ‘risco de encarceramento”.

Os CISOs, que Silver acredita dever reportar aos CFOs ou aos diretores jurídicos, precisam sincronizar sua abordagem com o perfil de risco geral da empresa. “Você está esperando aumentos nos preços? Você é rigidamente regulamentado? Será que seu perfil está mudando?”, pergunta Silver. “Se o SEC está começando a multar seus concorrentes devido a certa atividade, seu perfil de risco acaba de subir”.

Uma vez que um CISO determina o perfil de risco, ele precisa tornar a informação de segurança sistêmica para a organização. “À medida que iniciamos qualquer projeto, consideramos o tempo, recursos e qualidade”, conta Silver. “Não é um estiramento para adicionar segurança de informação para qualificar considerações. Ao tornar a segurança algo central em sua metodologia de gestão, todas as partes interessadas avaliam se o projeto corresponde ao perfil de risco”.

Fonte: CIO

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *